Відповідно до статей 7, 15, 56, 57 Закону України "Про Національний банк України", статті 70 Закону України "Про платіжні послуги", з метою впорядкування зберігання, захисту, використання та розкриття таємниці надавача платіжних послуг Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Правила зберігання, захисту, використання та розкриття таємниці надавача платіжних послуг, що додаються.

2. Постанова набирає чинності з дня введення в дію Закону України "Про платіжні послуги".

1. Ці Правила розроблені відповідно до Законів України "Про Національний банк України", "Про платіжні послуги" (далі - Закон про платіжні послуги), "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг" і визначають вимоги до захисту, зберігання, використання та розкриття інформації, яка містить таємницю надавача платіжних послуг.

2. Терміни, що вживаються в цих Правилах, застосовуються в значеннях, визначених законодавством України та нормативно-правовими актами Національного банку України (далі - Національний банк).

3. Інформація про діяльність та фінансовий стан користувача, що стала відома небанківському надавачу платіжних послуг під час обслуговування користувача та взаємовідносин із ним чи третіми особами під час надання платіжних послуг, є таємницею надавача платіжних послуг.

Таємницею надавача платіжних послуг є:

1) відомості про платіжні рахунки користувача;

2) інформація про операції, проведені на користь чи за дорученням користувача, вчинені ним правочини;

3) фінансово-економічний стан користувача;

4) інформація про організаційно-правову структуру юридичної особи-користувача, її керівників, напрями діяльності;

5) відомості стосовно комерційної діяльності користувача чи комерційної таємниці, будь-якого проєкту, винаходів, зразків продукції та інша комерційна інформація.

Положення пункту 3 розділу I не поширюються на інформацію, яку надавач платіжних послуг зобов'язаний розкривати відповідно до вимог Закону про платіжні послуги.

4. Надавач платіжних послуг зобов'язаний забезпечувати зберігання та захист інформації, яка містить таємницю надавача платіжних послуг, з метою недопущення її незаконного розкриття.

5. Працівники надавача платіжних послуг у разі прийняття їх на роботу підписують зобов'язання щодо збереження таємниці надавача платіжних послуг.

6. Надавач платіжних послуг зобов'язаний за погодженням із користувачем відображати в договорах, що укладаються між надавачем платіжних послуг і користувачем, застереження щодо збереження таємниці надавача платіжних послуг та відповідальності за її незаконне розголошення або використання.

Надавач платіжних послуг зобов'язаний передбачити в договорі про надання платіжних послуг отримання дозволу в користувача на надання надавачем платіжних послуг користувача іншим надавачам платіжних послуг інформації, що містить таємницю надавача платіжних послуг.

7. Юридичні та фізичні особи, а також службові особи, які під час виконання своїх функцій безпосередньо або опосередковано отримали інформацію, що містить таємницю надавача платіжних послуг, зобов'язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб, крім випадків, передбачених законодавством України.

8. Надавач платіжних послуг та працівники надавача платіжних послуг, які винні в порушенні вимог цих Правил, несуть відповідальність відповідно до законодавства України.

9. Надавач платіжних послуг зобов'язаний з метою забезпечення зберігання, захисту та запобігання несанкціонованому доступу до інформації, що становить таємницю надавача платіжних послуг, установити у внутрішніх документах спеціальний порядок ведення діловодства з документами, що містять таємницю надавача платіжних послуг, та визначити:

1) порядок реєстрації вихідних документів, що містять таємницю надавача платіжних послуг;

2) порядок відправлення та зберігання документів, що містять таємницю надавача платіжних послуг;

3) особливості роботи з електронними документами, що містять таємницю надавача платіжних послуг.

Надавач платіжних послуг зобов'язаний врахувати вимоги цих Правил під час установлення спеціального порядку ведення діловодства з документами, що містять таємницю надавача платіжних послуг.

10. Працівник надавача платіжних послуг зазначає застереження в документах, що містять інформацію, яка становить таємницю надавача платіжних послуг, про належність такої інформації до таємниці надавача платіжних послуг відповідно до статті 70 Закону про платіжні послуги та про необхідність забезпечення збереження такої інформації, її нерозголошення та невикористання на свою користь чи на користь третіх осіб.

11. Реєстрація вихідних документів, що містять таємницю надавача платіжних послуг, здійснюється в системі документообігу або/та журналі реєстрації (обліку) документів з грифами обмеження доступу.

Вихідні документи реєструються в день їх підписання або не пізніше наступного робочого дня.

12. Працівники надавача платіжних послуг зобов'язані забезпечити зберігання документів у паперовій формі, що містять інформацію, яка становить таємницю надавача платіжних послуг, у сейфах або шафах, які надійно замикаються і до яких не мають доступу треті особи.

13. Надавач платіжних послуг зобов'язаний під час відправлення (передавання) інформації, що становить таємницю надавача платіжних послуг, забезпечити її гарантовану доставку та конфіденційність.

14. Надавач платіжних послуг реалізує заходи щодо захисту інформації, що становить таємницю надавача платіжних послуг, в інформаційних системах відповідно до нормативно-правових актів Національного банку з питань інформаційної безпеки та кіберзахисту учасниками платіжного ринку.

15. Надавач платіжних послуг розкриває інформацію, що становить таємницю надавача платіжних послуг, на письмовий запит користувача - власника такої інформації або з його письмового дозволу в обсязі, визначеному в такому письмовому запиті або дозволі.

Письмовий запит та/або дозвіл користувача - власника інформації, що становить таємницю надавача платіжних послуг, до надавача платіжних послуг про розкриття такої інформації складається довільно в паперовій або електронній формі.

16. Письмовий запит (дозвіл) фізичної особи користувача - власника інформації, що становить таємницю надавача платіжних послуг, підписується:

1) у паперовій формі - власноручним підписом цієї особи, що засвідчується підписом керівника надавача платіжних послуг чи уповноваженою ним особою або нотаріально;

2) в електронній формі - електронним підписом цієї особи відповідно до вимог нормативно-правового акта Національного банку з питань застосування електронного підпису та електронної печатки.

17. Письмовий запит (дозвіл) юридичної особи користувача - власника інформації, що становить таємницю надавача платіжних послуг, підписується:

1) у паперовій формі - власноручним підписом її керівника або уповноваженою ним особою;

2) в електронній формі - електронним підписом її керівника або уповноваженою ним особою відповідно до вимог нормативно-правового акта Національного банку з питань застосування електронного підпису та електронної печатки.

18. Уповноважена особа користувача - власника інформації, що становить таємницю надавача платіжних послуг, під час надання запиту (дозволу) обов'язково додає документ (належним чином засвідчену копію документа), який підтверджує повноваження цієї особи на підписання запиту (дозволу).

Запит та/або дозвіл користувача - власника інформації, що становить таємницю надавача платіжних послуг, може бути включений до договору про надання платіжних послуг, що укладається між користувачем і надавачем платіжних послуг. У договорі також можуть визначатися підстави та межі розкриття надавачем платіжних послуг інформації, що становить таємницю надавача платіжних послуг.

19. Надавач платіжних послуг зобов'язаний виконувати рішення суду про розкриття інформації, що становить таємницю надавача платіжних послуг, у порядку, установленому законодавством України.

Надавач платіжних послуг розкриває інформацію, що становить таємницю надавача платіжних послуг, в обсязі, визначеному в рішенні суду про розкриття такої інформації.

20. Інформація щодо юридичних та фізичних осіб, що становить таємницю надавача платіжних послуг, розкривається надавачем платіжних послуг:

1) органам прокуратури України, Служби безпеки України, Державному бюро розслідувань, органам Національної поліції України, Національному антикорупційному бюро України, Бюро економічної безпеки України, Антимонопольному комітету України, Національному агентству з питань запобігання корупції, Національному агентству України з питань виявлення, розшуку та управління активами, одержаними від корупційних та інших злочинів, - на їхні запити щодо платіжних рахунків користувачів та операцій, проведених на користь чи за дорученням користувача, операцій без відкриття рахунків, а саме відомості на конкретно визначену дату або за конкретний проміжок часу та стосовно конкретної юридичної або фізичної особи, фізичної особи-підприємця про:

наявність рахунків;

номери рахунків;

залишок коштів на рахунках;

операції списання з рахунків та/або зарахування на рахунки;

призначення платежу;

ідентифікаційні дані контрагента (для фізичних осіб - прізвище, власне ім'я та по батькові, ідентифікаційний номер платника податку; для юридичних осіб - повне найменування, ідентифікаційний код за Єдиним державним реєстром підприємств і організацій України);

номер рахунку контрагента;

код банку контрагента;

2) центральному органу виконавчої влади, що реалізує державну податкову політику:

на його запит щодо наявності платіжних рахунків;

на його запит у випадках, встановлених підпунктами 6-8 підпункту 73.3.1 пункту 73.3 статті 73 Податкового кодексу України ;

у випадках та в обсязі, визначених статтею 39-3 Податкового кодексу України;

3) центральному органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, на його запит у випадках, установлених Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення";

4) органам державної виконавчої служби, приватним виконавцям - на їхні запити з питань виконання рішень судів та рішень, що підлягають примусовому виконанню відповідно до Закону України "Про виконавче провадження", - щодо платіжних рахунків користувачів та операцій, проведених на користь чи за дорученням користувача, а саме відомості на конкретно визначену дату або за конкретний проміжок часу та стосовно конкретної юридичної або фізичної особи, фізичної особи-підприємця про:

наявність рахунків;

номери рахунків;

залишок коштів на рахунках;

операції списання з рахунків та/або зарахування на рахунки; призначення платежу;

5) особам, зазначеним користувачем - власником платіжного рахунку у відповідному розпорядженні надавача платіжних послуг, у разі смерті такого власника платіжного рахунку - на їхні запит щодо наявності платіжних рахунків померлого власника та залишку коштів на таких рахунках;

6) державним нотаріальним конторам, приватним нотаріусам, посадовим особам органів місцевого самоврядування, уповноваженим на вчинення нотаріальних дій, іноземним консульським установам (для вчинення такими особами нотаріальних дій з охорони спадкового майна, з видачі свідоцтв про право на спадщину, про право власності на частку в спільному майні подружжя в разі смерті одного з подружжя) - на їхні запити щодо наявності платіжних рахунків та залишку коштів на платіжних рахунках померлих власників цих рахунків.

Надавач платіжних послуг має право надавати інформацію, що становить таємницю надавача платіжних послуг, суду, третейському суду, міжнародному комерційному арбітражу, нотаріусу, посадовим особам органів місцевого самоврядування та іноземним консульським установам, уповноваженим на вчинення нотаріальних дій, для захисту своїх прав та законних інтересів у справах, учасником у яких він є, в Україні або за кордоном.

Надавач платіжних послуг надає інформацію, що становить таємницю надавача платіжних послуг, Національному банку в обсягах, потрібних для здійснення ним нагляду за діяльністю надавача платіжних послуг (крім органів державної влади, органів місцевого самоврядування), надавача обмежених платіжних послуг у частині дотримання ними вимог Закону про платіжні послуги, оверсайту платіжної інфраструктури, а також нагляду у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення;

7) арбітражним керуючим - на їхні запити стосовно боржників, щодо яких арбітражний керуючий здійснює повноваження розпорядника майна керуючого санацією, ліквідатора, керуючого реструктуризацію або керуючого реалізацією, в порядку, встановленому статтею 12-1 Кодексу України з процедур банкрутства, - щодо платіжних рахунків користувачів та операцій, проведених на користь чи за дорученням користувача, а саме відомості на конкретно визначену дату або за конкретний проміжок часу та стосовно конкретного користувача (юридичної або фізичної особи, фізичної особи-підприємця) про наявність рахунків; номери рахунків; залишок коштів на рахунках; операції списання з рахунків та/або зарахування на рахунки; призначення платежу.

21. Запит органу державної влади, його посадових і службових осіб на отримання інформації, що становить таємницю надавача платіжних послуг, повинен відповідати таким вимогам:

1) викладений на бланку державного органу встановленої форми або надісланий в електронній формі;

2) наданий за підписом керівника державного органу (чи його заступника), скріплений гербовою печаткою або підписаний кваліфікованим електронним підписом керівника державного органу (чи його заступника);

3) містити підстави для отримання цієї інформації, передбачені цими Правилами.

22. Вимоги пункту 21 розділу III цих Правил не поширюються на випадки надання надавачем платіжних послуг інформації:

1) центральному органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, - у випадках, передбачених Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення";

2) центральному органу виконавчої влади, що реалізує державну податкову політику, - про відкриття та закриття платіжних рахунків платників податків відповідно до статті 69 Податкового кодексу України, щодо виявлених фактів володіння фізичною (юридичною) особою - резидентом України часткою в іноземній юридичній особі відповідно до статті 39-2 Податкового кодексу України, а також у випадках, визначених статтею 39-3 Податкового кодексу України;

3) органам державної виконавчої служби або приватним виконавцям -про відкриття та закриття платіжних рахунків фізичних осіб відповідно до статті 64 Закону про платіжні послуги.

23. Запит органу державної влади, його посадових і службових осіб на отримання інформації, що становить таємницю надавача платіжних послуг, повинен містити:

1) для фізичних осіб-резидентів - прізвище, власне ім'я, по батькові та реєстраційний номер облікової картки платника податків України або номер (та за наявності - серію) паспорта громадянина України, у якому проставлено відмітку про відмову від прийняття реєстраційного номера облікової картки платника податків України, або номер паспорта громадянина України у формі картки з записом про відмову від прийняття реєстраційного номера облікової картки платника податків України в електронному безконтактному носії;

2) для фізичних осіб-нерезидентів - прізвище, власне ім'я та по батькові (за наявності), номер (та за наявності - серію) паспорта;

3) для юридичних осіб - найменування та ідентифікаційний код за Єдиним державним реєстром підприємств і організацій України (далі - код за ЄДРПОУ).

24. Надавач платіжних послуг також надає інформацію, що становить таємницю надавача платіжних послуг, якщо до належним чином оформленого запиту відповідного державного органу додається перелік: